Om det finns två saker som aldrig bör blandas så är det cybersäkerhet/integritetsefterlevnad och företagspolicy. Och ändå är det i centrum för en efterlevnadskamp mellan Microsoft och tyska myndigheter som kan sluta med att företagets kunder straffas.
Tyska Datenschutzkonferenz, det tillsynsorgan som ansvarar för att administrera den tyska versionen av EU:s allmänna dataskyddsförordning (GDPR), har offentligt uttalat att "ingen dataskyddskompatibel användning av Microsoft Office 365 var möjlig."
Det är det mest absoluta och djärva uttalande jag någonsin sett från en efterlevnadsbyrå.
För att vara specifik, tillsynsmyndigheter har inte uttryckligen hittat överträdelser av efterlevnadsregler så mycket som de har hittat datavägar som Microsoft inte skulle förklara tillräckligt. Dessa rutter verkade dumpa data på servrar som kontrolleras av USA-baserade Microsoft.
”Den centrala och återkommande frågan i diskussionsserien var i vilka fall Microsoft agerar som processor och i vilka fall som registeransvarig. Detta har inte kunnat klargöras slutgiltigt. Kontrollanter ska alltid kunna visa sitt ansvar i enlighet med art. 5 par. 2 GDPR", står det i rapporten, innan det tilläggs att "svårigheter fortsätter att vänta eftersom Microsoft inte helt avslöjar vilken bearbetning som äger rum i detalj. Dessutom förklarar Microsoft inte fullständigt vilken behandling som utförs på uppdrag av kunden eller vilken som utförs för dess egna syften. Avtalsdokumenten är inte specifika i detta avseende och tillåter därför behandling som inte kan utvärderas slutgiltigt eller ens utökas för sina egna syften.
Föga överraskande håller Microsoft inte med och hävdar att dess produkter är perfektion för mjukvara.
"I dag uttryckte Tysklands Datenschutzkonferenz (DSK) oro över Microsoft 365:s (M365) efterlevnad av tyska och europeiska dataskyddslagar", säger Microsoft i ett uttalande. "Vi håller inte respektfullt med DSK:s ståndpunkt eftersom vi säkerställer att våra M365-produkter inte uppfyller, men ofta överskrider, EU:s strikta dataskyddslagar. Våra kunder i Tyskland och över hela EU De kan med säkerhet använda M365-produkter på ett lagligt sätt sätt att låta dem göra mer med mindre.
Microsoft lovade också att de skulle försöka dela mer information om sina processer (dvs. mer transparens).
"Vi tar DSK:s ansträngningar mot större transparens på största allvar, och även om vår dokumentation och öppenhetsmetoder överträffar de flesta andra i vårt utrymme, är vi fast beslutna att göra ännu bättre", sa företaget. "Som en del av våra EU-åtaganden om datatak kommer vi att tillhandahålla ytterligare transparensdokumentation om kunddataflöden och behandlingsändamål. Vi kommer också att tillhandahålla mer transparent dokumentation om bearbetning och spårning av underprocessorer och Microsoft-anställda utanför EU.
Det är oklart om Microsoft kommer att vara tillräckligt transparenta när det gäller att förklara exakt hur dess datakällor fungerar och varför, och om företaget är villigt att ändra dem.
Så vad betyder detta för Microsoft och, ännu viktigare, för Microsofts datorkunder?
Låt oss börja med Microsofts spin-offs. Jämfört med USA tar Europa integritet och cybersäkerhet på största allvar. Och det är säkert att säga att Tyskland har ett rykte om att ta efterlevnad på större allvar än någon annan i EU eller Storbritannien.
I teorin borde detta innebära allvarliga konsekvenser för företaget. Men enligt Peter Dorce, en integritetsspecialist i Tyskland som ofta arbetar med tillsynsmyndigheter, är det osannolikt att Microsoft kommer att tvingas göra fler ändringar eller svara på specifika frågor. Deras mjukvara är helt enkelt så spridd att det skulle vara politiskt oattraktivt att tvinga fram frågan.
Tyska tillsynsmyndigheter "kan leva med situationen där Microsoft låtsas göra allt rätt och myndigheterna påstår sig ha gjort allt de kan för att tvinga Microsoft att följa", sa han i en intervju med Computerworld. Microsoft "uppfyller inte de mest grundläggande GDPR-kraven. De saknar grundläggande transparens. Vi kan inte utvärdera vad de gör eftersom de inte berättar för oss.
Det är här politiken kommer in, där praktiska krafter kan påverka statliga verkställighetsåtgärder. Tyska tillsynsmyndigheter "fruktar repressalier. (Med tanke på tillsynsmyndigheterna) kommer vi inte att få mer budget om vi säger att du inte kan använda Office längre. Eller till och med Google Analytics, plus", sa Dorenvant. "Det här är politiska frågor. Ingen vill vara den onde.
Så Microsoft kommer sannolikt att gå på skridskor i frågan, åtminstone för nu. Men hur är det med företagens IT-administratörer? Är företag som använder Microsoft-produkter immuna mot efterlevnadspåföljder? Inte nödvändigtvis. Det kan tyckas orättvist att släppa Microsoft från kroken och straffa sina kunder, men därav argumentet att det är mycket troligt. Och inte bara i Tyskland.
"I Belgien, Nederländerna, Tyskland och på andra håll pågår stämningar mot kunder av Microsoft-produkter", sa han.
Detta för oss till ett ännu större IT-efterlevnadsproblem. För inte så länge sedan var ett populärt ordspråk för datorer att ingen kunde få sparken för att ha köpt IBM. Detta innebar att det att hålla fast vid de största teknikleverantörerna i allmänhet skyddade deras köpbeslut i stor utsträckning.
När det gäller efterlevnad antyder samma tankesätt att när företag använder Microsoft, SAP, Oracle, Google eller någon av de andra stora aktörerna kan IT anta att grunderna, de mest grundläggande frågorna om cybersäkerhet och efterlevnad, har stöds (särskilt när det handlar om något som GDPR).
Det var aldrig en klok strategi, men det är den absolut inte idag. Om Microsoft fortfarande har kryphål i frågor om efterlevnad av minimikrav, är chansen stor att de andra stora aktörerna också gör det.
För att vara rakt på sak, din uppfyllelse är din uppfyllelse. Att använda seriösa leverantörer kommer inte att skydda dig från regulatoriska mardrömmar. Myndigheterna kanske inte har modet att gå emot dessa leverantörer, men att ge exemplet med några Fortune 1000-företag är en helt annan historia.
Copyright © 2022 IDG Communications, Inc.